Обще известный факт, что обеспечение информационной безопасности само по себе не создает прибыль. Это статья расхода компании, но это необходимое условие для возможности ее работы.
И все же зачастую формирование бюджета ИБ происходит по остаточному принципу и составляет от 5 % до 20% всех расходов на информатизацию. А информатизация – процесс недешёвый и уступает только расходам на капстроительство. Естественно денег не хватает.
Однако, на финансирование задач по ИБ существенным образом влияют обязательные требования со стороны государства, которые не возможно игнорировать.
По законодательству устанавливают требования и ответственность за нарушение Закона в части ИБ почти семь регуляторов: ФСТЭК, ФСБ, Минкомсвязь, Роскомнадзор, ЦБ РФ, а теперь и Сбербанк как центр компетенции проекта «ИБ» федеральной программы «Цифровая экономика», опосредованно Минэк и Минюст, влияющие на содержание принимаемых нормативно-правовых актов. Как видим, они выстроены горизонтально, без вертикальной иерархии. Что отвечает задачам регулирования, но не отвечает задачам управления.
Эти особенности и определяют развитие отрасли ИБ
В 2019 году его размер рынка ИБ составил около 70 млрд руб.,
70% средств это были поставки оборудования и ПО. Так как рынок небольшой, то заниматься новыми разработками и вкладывать в это деньги не особенно выгодно для большинства компаний (разработка ПО – дорогое развлечение). Гораздо интереснее вылавливать большие заказы типа биометрической аутентификации в метро. Что конечно не способствует взрывному развитию рынка.
Теперь о лицензировании деятельности в сфере защиты информации и об ответственных за ИБ.
Изначально это виделось надежной защитой от недобросовестных компаний.
Что получилось на деле? Лицензии получают все, кто хочет, вне зависимости от величины компании, ее активов и истории, в том числе это и «дочки» мировых трансконтинентальных корпораций.
Если учесть еще кадровую текучку, влияющую на уровень компетенций компаний, то с уверенностью можно сказать, что лицензия в нашем случае никак не является гарантом качества.
На рынке полно непрофильных компаний с лицензиями на право осуществлять деятельность в сфере защиты информации, что позволяет им легко участвовать и выигрывать в конкурсах, прибирая к рукам до 70% по некоторым оценкам средств с сегмента поставок. В итоге происходит схлопывание рынка.
Ну и собственно об ответственных.
Структуры, на которых лежит ответственность за обеспечение ИБ в компаниях, как и в целом в стране – это службы информационной безопасности.
Они работают достаточно автономно и нуждаются в основном в поддержке вендоров и научно-технической поддержке.
Но при этом на них лежит колоссальная ответственность, большой объем требований, диктуемых законодательством, что приводит к ситуации «зарегулированности». И все это, как мы помним, в ситуации «остаточного финансирования». Плюс к этому часто в компаниях складываются непростые внутренние взаимоотношения с другими подразделениями и на специалистов пытаются повесить решение несвойственных задач.
Какой выход?
Здесь лёгких и простых решений нет.
Вмешиваться в работу госрегуляторов и вменять дополнительные несвойственные им функции нецелесообразно. По закону они выполняют задачи в рамках своих полномочий.
Федеральная программа? Уже существует. Её дорабатывали, правда, без участия госрегуляторов и при очень низкой явке заинтересованных экспертов.
Поглядим, конечно, но есть опасения, что она не даст нужных результатов. Но есть положительный момент – программа обеспечена финансированием.
А вот центр компетенции при Президенте РФ, имеющем административные и финансовые ресурсы, в виде агентства или комитета с привлечением опытных специалистов не только в сфере ИБ, но и экономики и права, был бы хорошим решением.
Тут можно было бы и цели стратегические сформулировать, и провести необходимые исследования, и поставить задачи многим ведомствам, и добиться результата, не вмешиваясь в оперативную деятельность субъекта отрасли.
